知识库_Windows域控管理及常用组策略.pdf

Windows域控管理

说明：

本文档没有目录，本文档在发布时为文档，有章节书签，可以下载到本地来查看，点

1.pdf

击书签进入相应的章节。

2.蓝色的字为配置命令，绿色的字为命令的注释，有时命令太密集时，就不用蓝色标出了。

3.注意：本文档的所有操作请先在在虚拟机里进行实践，请不要直接在真实的服务器中操作！

作者：李茂福

日期：年月日

20191224

Windows域

中的域（）是一套统一的身份验证系统，是企业应用的基础。组策略通过

Windowsdomain

用户身份验证和域绑定得比较紧密。

域树：由多个域组成，这些域共享同一个存储结构和配置，形成一个连续的名字空间，有相

同的DNS后缀。

域林：由一个或多个没有形成连续名字空间的域树组成，构成域林的各个域树之间没有形成

连续的名字空间，没有相同的DNS后缀。但域林中的所有域树仍共享同一个存储结构、

配置和全局目录。

根域：网络中创建的第一个域，一个域林中只能有一个根域（RootDomain）。

DCget-ADforest//查看根域

部署第一台域控制器

1.以管理员帐号Administrator登录服务器

2.更改计算机名

3.设置静态IP

4.首选DNS配置为本机IP

5.添加角色和功能：

打开“服务器管理器”→添加角色和功能→基于角色或基于功能的安装→...→Active

Directory域服务→→安装进度（结果）→点击“将此服务器提升为域控制器→添加新林

一般第一台域控制器同时也是“集成区域DNS服务器”

netaccounts//查看计算机角色，第一台域控的角色为Primary

netshare//查看系统共享卷，以下为安装DC功能后添加的

NETLOGONC:\Windows\SYSVOL\sysvol\\SCRIPTSLogonservershare

SYSVOLC:\Windows\SYSVOL\sysvolLogonservershare

FSMO操作主机角色

FlexibleSingleMasterOperation

netdomqueryfsmo//查看5种操作主机角色所在的域控制器

1.架构主机SchemaMaster

域林中只有一个架构主机，作用是定义所有域的对象属性（定义数据库字段及存储方式）

2.域命名主机DomainNamingMaster

域林中只有一个域命名主机，负责控制域林内域的添加或删除

3.PDC主机PDCEmulatorMaster

每个域中只有一个PDC主机，作用：

兼容低版本的DC

PDC主机角色所在的DC优先成为主域浏览器，用netaccounts查看的那个Primary

活动目录数据库的优先复制权

时间同步

防止重复套用组策略，使用组策略时，组策略编辑器默认连到PDC主机

4.RID主机RelativeIdentifierMaster

每个域中只有一个RID主机

作用是在域中创建对象时保证每个对象有一个唯一的SID，跨域访问、迁移域对象时，通

过RID主机确认域对象的唯一性

5.基础结构主机InfrastructureMaster

每个域中只有一个基础结构主机，负责对跨域对象的引用进行更新

*整个域林中只有一台架构主机和一台域命名主机

*每个域中都有自己的PDC主机、RID主机和基础架构主机各一台

FSMO角色转移

将Primary上的操作主机角色转移到Backup上

登录BackupDC

ntdsutil

ntdsutil:roles

Fsmomaintenance:connections

Serverconnections:connecttoserverBackDC.//连接至BackupDC

serverconnections:quit

Fsmomaintenance:transferschemamaster//转移架构主机角色

Fsmomaintenance:transfernamingmaster